Ladri di Dna L’Ue è in grado di tutelare la privacy dei dati genetici dei suoi cittadini?

Una recente inchiesta di Reuters ha rivelato come il gruppo cinese Bgi si stia impossessando delle informazioni sul genoma di milioni di madri attraverso test prenatali commercializzati in tutto il mondo. Ma l’Europa ha gli strumenti per poter contrastare questo genere di operazioni?

Pixabay

Come il buon sangue, anche il Dna non mente; eppure, può creare dispute. A inizio settembre Reuters ha riferito di come le autorità di regolamentazione sanitaria di cinque paesi (tra cui Canada, Germania e Slovenia) stiano esaminando le modalità attraverso cui un test prenatale cinese commercializzato in occidente raccoglie – in maniera illecita – il Dna di donne e feti, a scopo di ricerca.

Il test, brevettato dal gruppo Bgi (Beijing Genomics Institute, una società di sequenziamento del genoma con sede a Shenzhen) e messo in commercio con il nome Nifty, è venduto in almeno 52 paesi e a oggi è stato effettuato da più di 8 milioni di donne in tutto il mondo.

I test Nifty sono un tipo di diagnosi prenatale non invasiva (Nipt, Non Invasive Prenatal Test), un servizio a cui sottoporsi in una clinica specializzata che effettua un monitoraggio delle principali anomalie del feto in gravidanza (dalla sordità alla sindrome di Down). Per lo studio del Dna fetale è sufficiente un prelievo del sangue materno: si tratta di un’analisi rapida e affidabile che è possibile effettuare a partire dalla decima settimana di gestazione e che produce i suoi risultati di screening nel giro di sette giorni.

L’inchiesta
L’avvio delle verifiche da parte dei regolatori della privacy è arrivato in seguito alla lunga inchiesta realizzata da Reuters e pubblicata lo scorso luglio. L’indagine ha rivelato come il gruppo Bgi abbia sviluppato i test prenatali in collaborazione con l’esercito cinese (Esercito popolare di liberazione) e li stia utilizzando per raccogliere dati genetici prelevandoli da milioni di donne; i test Nifty (Non-Invasive Fetal TrisomY) forniscono infatti informazioni sul soggetto madre, quali paese d’origine, altezza e peso. Questi dati vengono in seguito sfruttati per condurre ricerche relative ai tratti della popolazione, ma non solo: attingendo a questo sconfinato campionamento, si studiano anche metodi per abbattere problematiche frequenti nei soldati delle truppe cinesi, come perdita d’udito (dovuta alla prolungata esposizione agli spari da arma da fuoco) e lesioni celebrali causate dall’alta quota.

In risposta, la società di Shenzhen ha rilasciato un comunicato stampa, contestando le indagini e definendole false: stando a quanto riportato, non gli sarebbe mai stato chiesto di fornire (né avrebbe fornito volontariamente) i dati del suo test Nifty ad autorità cinesi per scopi di ricerca o sicurezza nazionale.

Le ripercussioni a livello internazionale però, non sono mancate. Se Daniel Therrien, commissario canadese per la privacy, ha affermato che l’inchiesta solleva importanti questioni sulle informazioni «altamente sensibili dei suoi cittadini», le autorità di regolamentazione di Slovenia e Germania hanno adottato un approccio ancora più risoluto, dichiarando che esamineranno i test «alla luce delle norme sulla protezione dei dati dell’Unione europea». La questione, in effetti, evidenzia le difficoltà della supervisione normativa sui dati genetici quando questi ultimi vengono inviati da un paese all’altro (nel caso specifico, dal nostro continente alla Cina).

Il diritto genetico in Europa
Ma facciamo un passo indietro. Negli ultimi decenni, lo sviluppo di nuove tecnologie per il sequenziamento del genoma umano ha reso la genetica (lo studio dei singoli geni) e la genomica (lo studio dell’insieme di geni di una persona e del modo in cui interagiscono tra loro) settori altamente dinamici e mutevoli. I rapidi sviluppi scientifici in questo ambito hanno spinto il Consiglio d’Europa a concentrarsi sulle questioni etiche a esso correlate e a elaborare strumenti legali volti a tutelare i diritti umani fondamentali dei cittadini europei.

La convenzione di Oviedo non rappresenta la nascita del “diritto genetico”, ma uno step fondamentale nel suo sviluppo storico: nel 1997, nella città spagnola, viene firmata la convenzione sui diritti dell’uomo e la biomedicina, che contiene disposizioni specifiche relative -soprattutto – ai test predittivi e agli interventi sul genoma umano.

I principi vengono sviluppati e integrati nel “Protocollo aggiuntivo relativo ai test genetici a fini sanitari”, adottato il 7 maggio 2008. Le direttive del protocollo si applicano ai test – effettuati a fini sanitari – che comportano l’analisi di campioni biologici umani e che mirano a identificare le caratteristiche genetiche di una persona; specificatamente, quelle che sono state ereditate o acquisite durante il primo sviluppo prenatale. Tuttavia, il protocollo non copre i test genetici effettuati direttamente sull’embrione o sul feto durante il periodo di gestazione.

La lacuna è stata colmata tempo dopo con il Regolamento generale sulla protezione dei dati (Gdpr, General data Protection Regulation, regolamento Ue n.2016/679), adottato il 27 aprile 2016. Il documento tratta, con più ampio respiro, la tutela di tutti i dati personali dei cittadini europei: si propone infatti l’obiettivo di rafforzare la protezione di tali informazioni sia all’interno che all’esterno dei confini dell’Unione, semplificando il contesto normativo che riguarda gli affari internazionali e rendendo omogena la normativa sulla privacy in tutti i 27 paesi membri. Salvaguardandosi, al tempo stesso, anche da azioni di trattamento dei dati operate da realtà extraeuropee, tenute a osservare e adempire agli obblighi previsti.

Nell’articolo 4 del Gdpr viene definita come personal data «qualsiasi informazione relativa a una persona fisica identificata o identificabile […]». Una persona fisica identificabile, come riporta il testo, è «una persona che può essere identificata […] facendo riferimento […] a uno o più fattori specifici del fisico», ma anche «dell’identità genetica».

Gdpr, articolo 4 (“Definitions”)

In effetti, sulla scia dell’inchiesta di Reuters, il regolatore della privacy dei dati in Slovenia ha dichiarato di essere preoccupato per l’esportazione di dati dei test Nifty da parte della società Bgi, ma anche aggiunto che il paese non ha ancora adottato modifiche alle sue leggi nazionali per la piena applicazione del Gdpr europeo. Per questo motivo, sarebbe impossibilitato a procedere legalmente nel caso in cui tali violazioni venissero confermate anche a seguito di un controllo autonomo. Insomma, le regole a livello europeo esistono, ma lo Stato non è ancora corso ai ripari implementandole nella propria legislazione.

E in Italia?
In Italia, i test Nifty non sono mai stati commercializzati. Tuttavia, il problema relativo alla gestione dei dati genetici si pone: in questo senso, il nostro paese ha adottato nel 2016 le direttive dell’Unione con il Gdpr e, nonostante l’atteggiamento dell’autorità garante sia stato inizialmente accomodante (complici i ritardi nell’elezione del nuovo collegio), negli ultimi tempi si è assistito a un’intensificazione dei controlli, come dimostrato da alcune ricerche condotte dall’Osservatorio Cyber Security & Data Protection.

Possiamo sentirci al sicuro, quindi? La risposta è sì: «per la tutela della riservatezza dei dati genetici, il Gdpr ha aiutato l’Italia», spiega Michele Morgante, professore all’Università degli Studi di Udine e presidente dell’Associazione Genetica Italiana. «Fino al 2016, il nostro paese si basava su una circolare del garante per la privacy che veniva rinnovata di anno in anno. Io sono stato per lungo tempo nel comitato etico della mia Regione (il Friuli-Venezia Giulia, ndr), era una giungla: anche le grandi aziende farmaceutiche provavano ad ottenere consensi per il trattamento di questi dati in maniera sistematica. Adesso invece abbiamo una normativa sottostante più stabile che fornisce i principi fondanti di tutto questo settore».

Ma c’è anche il rovescio della medaglia. La natura estremamente tutelante del Gdpr rischia di rivelarsi, per la ricerca, un’arma a doppio taglio: «prova ne sia la serie di problemi che l’Istituto superiore di sanità ha avuto con il lavoro di sequenziamento delle varianti Covid, dove non veniva svelata neppure l’identità genetica del paziente», spiega Morgante. «Le difficoltà nel mettere a disposizione anche solo informazioni come sesso ed età erano enormi».

In questo senso, si assiste ad un problema opposto rispetto a quello della tutela della privacy degli individui: ci sono molti settori scientifici, oltre a quello genetico, dove l’eccessiva attenzione nei confronti dei dati sensibili può rappresentare un limite. «La ricerca si è giovata molto della condivisione dell’informazione, in particolare nel campo del sequenziamento del Dna. Oggi si parla tanto di open science: se però iniziamo a porre troppe barriere, allora potremmo non avere più i benefici di questa filosofia d’approccio. Bisogna trovare il giusto compromesso tra la difesa dei diritti della persona e la ricerca».